Bienvenida
Bienvenida
Introducción a la ciberseguridad
¿Qué es la Ciberseguridad?
Importancia de la ciberseguridad
Beneficios de la ciberseguridad
Retos de la ciberseguridad
Entiende tus riesgos
Campos de acción de la ciberseguridad
Seguridad de la información
Seguridad de aplicaciones
Seguridad en redes
Seguridad en la nube
Seguridad física
Cultura en ciberseguridad
Ciberamenazas
Malware
Ransomware
Ingenieria social
Phishing
Denegación de servicios
Man-in-the-middle
Controles en ciberseguridad
Gestión de accesos
Firewall
IPS/IDS (Intrusion Prevention/Detection Systems)
Correlación y gestión de eventos
Copias de seguridad
Cifrado
VPN (Virtual Private Network)
Endpoint protection
BCP (Plan de Continuidad de Negocio)
DLP (Data Lost Prevention)
Gestión de incidentes de ciberseguridad
BYOD (Bring Your Own Device)
Roles dentro de ciberseguridad
CEO (Chief Executive Officer)
CISO (Chief Information Security Officer)
CSO (Chief Security Officer)
CIO (Chief Information Officer)
Penetration Testers (Red and Blue Team)
Stakeholders
Continúa tu aprendizaje
Despedida
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
Aportes 24
Preguntas 1
La ingeniería social está muy ligada al phishing y al vishing, aunque ciertamente no solo se reduce a ello. Digamos que la ingeniería social está más relacionada al contenido de la estrategia y las demás al método utilizado.
Mi caso
una vez recibí un correo de la Fiscalía solicitándome comparecer para una investigación, cuando abrí el correo me di cuenta que él remitente no era un correo oficial y tenía algunos errores ortográficos. Así que hice caso omiso y ahora estoy preso.
je, je, es broma, pero lo que sí es cierto es que se saben armar un buen escenario en donde el carácter de urgencia y el miedo son indispensables.
Una vez fui victima de un ataque de ingenieria social y realmente el trabajo que realizan para validar tu desconocimiento es muy fuerte, y usan esto para crear una confianza entre “usuario y cliente” y completar así su cometido, desafortunadamente yo me di cuenta tarde, pero esa experiencia me motivo para mejorar mi cultura de ciberseguridad.
La reflexión del final es clara desconfiemos siempre de todas las transacciones e interacciones que tenemos con personas desconocidas y mas aun si esto sucede en un ambiente virtual.
Ciber-Controles
Validación de origen: Descartar correos o contactos de dudosa procedencia.
2FA o MFA: Fortalecer cuentas con doble o múltiple factor de autenticación ya que agrega un factor mas (independiente de usuario o contraseña) recibiendo un token por ejemplo de una aplicación como google autenticator.
Cultura en Ciberseguridad: Utilizar el sentido común y tener claro que “no todo lo que brilla es oro”.
El ciclo de vida
Un día me llego un SMS indicando que estaban intentando comprar criptomonedas por un valor x desde mi aplicacion bancaria, que si no era yo que ingresara al LINK del mensaje. Hice click en el enlace, yo ya estaba prevenido porque habia escuchhado de esta modalidad, el link me llevo a una pagina casi identica en la presentacion a la de mi entidad bancaria , pero con una diferencia casi imperceptible y era que en direccion de la WEB donde lo diriga el link habia un cero antes del nombre de la pagina. En esta pagina le indicaban que era necesario ingresar usuario y contraseña para validar que no era yo el que realizaba la transaccion. Innmediatamente capture el recorte de la pagina y del mensaje que me habia llegado y me dirigi a la estacion de policia para hacer la denuncia, pero desafortunadamente me dijeron que no estaba la persona que recibia las denuncias por delitos informaticos que si podia regresar en la jornada de la tarde a las 3 pm.
Yo creo que por eso los ciberdelincuentes la tienen tan facil, por que la justicia no esta preparada para hacerles frente.
Me parece muy interesante este curso y los conceptos base, ya que muchos usuarios / empresas cuando les llegan una clase de estos correos maliciosos como el de “FELICIDADES, Te has ganado un iphone” hacen todo lo que el atacante dice, gracias por la informacion!
yo como tal no he sido victima de ingenieria social pero a mi novia le mandaron un mail que pedian creo que eran 1000 dolares en btc y si no los pagaba iban a publicar sus fotos intimas.
parecia un mail generico y estaba redactado con un español muy basico. acto seguido se fue al trash can
Me gusta saber el detalle de este contenido.
Ingeniería Social: Consiste en el uso de técnicas psicológicas y habilidades sociales con el fin de manipular a una persona para que realice acciones específicas y lograr así una meta o beneficio. Engañan a los usuarios para obtener datos privados y confidenciales como fecha de nacimiento, dirección, contraseñas o información financiera, además, es usada para infectar los equipos informáticos con Malware y otros virus que ponen en riesgo la información.
Algunos de los ciberataques más comunes con el uso de esta técnica son:
Medidas para prevenir ataques con ingeniería social
Ingeniería social, ciberataques más comunes y cómo prevenirlos
https://www.piranirisk.com/es/blog/ingenieria-social-ciberataques-y-prevencion?hs_amp=true&utm_term=&utm_campaign=Matriz+de+Riesgos+-+General+-+Julio+2022&utm_source=adwords&utm_medium=ppc&hsa_acc=9508207643&hsa_cam=17802451156&hsa_grp=138377008319&hsa_ad=611541611264&hsa_src=g&hsa_tgt=dsa-19959388920&hsa_kw=&hsa_mt=&hsa_net=adwords&hsa_ver=3&gad=1&gclid=Cj0KCQjwj_ajBhCqARIsAA37s0wfhp9p9HSH62ci-j-7InIsLStekJUsQGjtdaUXRYRnjGs3dAAfUpoaAlLoEALw_wcB
Gracias profe por explicar muy bien la ing social.
El factor que se utiliza en este método, es el convencimiento, reforzado con material creado adrede para ser más creíble, y hasta utilizando la ignorancia de la víctima. Aprenderemos a través de esta unidad, varias técnicas que tendremos que tener en cuenta para no precipitarse y entregar nuestros datos importantes en bandeja, tanto por querer “ayudar”, “cooperar” y “colaborar”. Nadie dice que sea malo, pero una de las mejores contramedidas para no ser víctima de este tipo de técnica, es ESTAR ATENTOS. Infosecurity Europe llevo a cabo una encuesta a trabajadores de oficinas en Londres, donde en un artículo publicado por ZDNet el 20 de abril de 2004, el estudio descubrió que las tres cuartas partes de los trabajadores encuestados están dispuestos a revelar su contraseña de acceso a la red a cambio de una barra de chocolate. Esto demuestra lo fácil que es acceder a las redes sin tocar una sola pieza. Al final del día, no importa cuánto de encriptación y tecnología de seguridad se haya puesto en práctica, una red nunca es completamente segura. Uno nunca puede deshacerse del eslabón más débil, el factor humano. No importa la tecnología utilizada como firewalls, redes privadas virtuales (VPN), o dispositivos de encriptación, si los empleados están dispuestos a dar acceso a los sistemas a cualquier persona que lo solicite.
¿Qué es la ingeniería social?
Es una técnica para disponer y obtener acceso a información vital, privilegiada y confidencial y/o recursos que podrían servir para un ataque diferente. Su mayor éxito se basa en la parte humana, a través del uso de factores como engaños,
persuasión e influencia. Suelen ser utilizados desde cualquier parte (local, remota), y con cualquier tecnología de uso (teléfono, celular, email, papel, etc). Puede estar dirigido a:
• Una organización objetivo
• A un determinado empleado/a
• A un determinado grupo de personas
• A un usuario en general
• Todo aquel que se encuentre relacionado con éstos.
El contacto realizado es hecho supuestamente por:
Prestador/a de servicios.
Conocido/a, amigo/a o pariente de alguien.
Autoridad.
Colega de otro sector o sucursal.
Anónimo.
Impersonalizado.
En tipo de modo:
Casualidad
Directo: consulta inocente y típica, firmar entrega de regalo, encuesta, completar planillas, etcétera.
Indirecto: involucrar a terceros ficticios o reales sin conocimiento.
Trampa directa e indirecta: envío de correo con material en DVD, suplantación de pendrive, etcétera.
Invasivo: acceso a recintos, irrupción dentro de oficina con o sin utilización de lockpicking, instalación de hardware espía (recolector o transmisor de datos, uso de Keylogger)
A través de los medios:
Cara a cara con protagonista: Mediante diálogo.
De carácter secundario: Como empleado de correo o cadetería.
E-mail: Todas las formas imaginables, algunas detalladas más adelante.
Teléfono, impersonal: Diálogo.
Fax: Enviando documentos con requerimientos de modificación de datos o con información sensible.
Medios y agentes combinados: el intruso envía un e-mail de un supuesto superior de una sucursal, avisando a la recepcionista de otra sucursal que en unos momentos va a pasar alguien a recoger un dato o determinada información para que se la tenga preparada.
Fin del acto:
Información: busca pequeñas pistas o datos para planificar el embate.
Acciones: busca generar determinadas acciones.
En una Prueba de Intrusión (Pentest) a menudo se pide realizar precisamente esto, emplear tácticas de ingeniería social para descubrir si los empleados están siguiendo las políticas internas y no revelar información sensible. Un ingeniero social es alguien que utiliza el engaño, la persuasión, y la influencia para obtener información que de otro modo no estará disponible. Existen dos tipos de ingeniería social:
• Basadas en la tecnología
• Basadas en Humanos
La ingeniería social basada en la tecnología, utiliza la tecnología para engañar a los usuarios en dar información sensible. Un ejemplo clásico de una tecnología basada en ataque es tener una ventana emergente en la computadora de un usuario y pedir su contraseña, como se demuestra en el ejemplo. Aquí el usuario es informado de que su sesión ha finalizado, y se le pedirá que introduzca su nombre de usuario y contraseña nuevamente. Después de que el usuario hace clic en el botón Enviar, el nombre de usuario y contraseña son enviadas al ordenador del intruso. El intruso puede utilizar esa información más adelante para acceder a la red de la víctima. En cambio, la ingeniería social basada en humanos no emplea la tecnología, sino que se hace en persona, o a través de una llamada telefónica. Ambas técnicas se basan en el comportamiento previsible del ser humano que quiere ayudar a otro ser humano. A través de una llamada por teléfono, un intruso podría solicitar directamente un usuario y una clave, previo reconocimiento y de acuerdo al escenario que tenga en el destino, de esa manera habría una posibilidad de que se lo pasen sin ningún inconveniente.
Una vez me enviaron un mensaje en telegram para invertir en criptomonedas, se presentaron como una empresa especialista en trading. Me enviaron todos sus brochure muy bien diseñados. Querían que invierta y que realizara el pago por paypal. Pero sin sabes que esta aplicando la validación de origen, googlee el número y la empresa y ya había reportes de personas estafadas.
La ingeniería social es un conjunto de técnicas utilizadas por ciberdelincuentes para ejecutar delitos mediante la manipulación psicológica de las víctimas. El ciclo de vida incluye la investigación, el enganche y la ejecución del ataque, seguido del cierre de la interacción y la eliminación de evidencia. Para prevenir la ingeniería social, es importante validar el origen de los correos o contactos, fortalecer las cuentas con autenticación de doble o múltiple factor y fomentar una cultura de ciberseguridad basada en el sentido común.
Buena Explicacion
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?